Sergey Nivens - Fotolia

Crédit Agricole SA modernise son SSO avec Ilex

Le projet visait à consolider les mécanismes de contrôle des accès tout en simplifiant l'expérience des utilisateurs. A la clé, une administration et une gestion des audits centralisées.

C’est en 2016 qu’a démarré le projet. Maixent Cousy, architecte IT chez Crédit Agricole SA, expliquait, aux Assises de la Sécurité de l’automne dernier, que l’objectif était de rationaliser les systèmes d’authentification, et rendre ceux-ci aussi transparents que possibles aux utilisateurs, avec une expérience cohérente entre les multiples cas d’usage. Au passage, cette rationalisation devait permettre de consolider l’administration et l’audit des accès.

Il faut dire que les cas d’usage sont effectivement variés. Les équipes de Crédit Agricole SA doivent ainsi tenir compte des applications en mode SaaS qui embarquent leurs propres mécanismes d’authentification, mais aussi des applications Web internes en .Net ou J2EE, voire client lourd en JRE et en même en émulateur 3270… Certaines applications doivent être accessibles à partir de terminaux non maîtrisés, et celles-ci n’utilisent pas directement l’annuaire interne. Et il faut encore compter avec les applications mobiles, pour iOS et Android.

Pour supporter tous ces scénarios, Maixent Cousy et son équipe cherchaient donc une solution capable d’apporter une réponse pour les applications Web et les autres, mais également d’éviter la réutilisation des identifiants internes pour les postes non maîtrisés, et de gérer l’authentification forte avec des systèmes d’OTP (One Time Password, ou mot de passe à usage unique) mobiles.

Maixent Cousy explique que Crédit Agricole SA compte moins de 3 000 utilisateurs, pour 200 applications. Mais il édite aussi des solutions pour les 50 000 utilisateurs du groupe, leur mettant à disposition une vingtaine d’applications.

C’est Ilex Sign&Go Global SSO qui a été choisi, et Synetis qui a été retenu pour l’accompagnement. Un démonstrateur a été mis en place en juillet 2016, puis douze applications accessibles en interne ont été rapidement intégrées. Pour les équipes de Maixent Cousy ont travaillé à la conception du processus de transformation des applications existantes pour les adapter à SAML, tout en développant un kit d’automatisation. Mis à disposition des équipes de développement au mois de décembre suivi, il a permis l’intégration de douze applications supplémentaires.

En juillet 2017, Crédit Agricole SA a mis en production la version 7 de la solution d’Ilex. De quoi commencer à utiliser ses capacités d’authentification adaptative, avant d’ouvrir le service d’authentification par OTP mobile au mois de septembre dernier, sur quatre applications SaaS et une application mobile.

La prochaine étape prévue est la possibilité pour les utilisateurs d’ouvrir une session sur leur poste de travail Windows avec leur OTP mobile. De quoi gagner en confort alors que, parallèlement, la politique de mots de passe a été durcie.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close